Требования к среде пограничных серверов для Skype для бизнеса Server 2015

Skype for Business Server 2015
 

Дата изменения раздела:2016-07-11

Краткое содержание . Сведения о требованиях к среде для пограничных серверов в Skype для бизнеса Server 2015.

За пределами среды пограничного сервера Skype для бизнеса Server 2015 большое внимание уделяется планированию и подготовке. В этой статье описаны меры, которые необходимо предпринять в организационной среде, в соответствии со следующим списком:

Skype для бизнеса Server 2015Пограничный серверТопологии могут использовать:

  • общедоступные IP-адреса с поддержкой маршрутизации;

  • частные IP-адреса, не поддерживающий маршрутизацию, если используется симметричное преобразование сетевых адресов (NAT).

tipСовет.
Ваш пограничный сервер можно настроить для использования одного IP-адреса с отдельными портами для каждой службы или для использования отдельных IP-адресов для каждой из служб с одинаковым портом по умолчанию (TCP 443). Дополнительные сведения приведены в разделе требований к IP-адресам.

Если вы решите использовать частные IP-адреса без поддержки маршрутизации с NAT, обратите внимание на следующие требования.

  • Необходимо использовать частные IP-адреса с поддержкой маршрутизации на всех трех внешних интерфейсах.

  • Вам следует настроить симметричное преобразование сетевых адресов для входящего и исходящего трафика. Пограничный сервер Skype для бизнеса Server 2015 поддерживает только симметричное преобразование сетевых адресов.

  • Настройте NAT таким образом, чтобы входящие исходные адреса не изменялись. Пограничная служба передачи аудио- и видеоданных требует возможности получения входящего исходного адреса для поиска оптимального пути сервера-посредника.

  • Для пограничных серверов требуется взаимодействие друг с другом с общедоступных IP-адресов службы передачи аудио- и видеоданных. Брандмауэр должен разрешить этот трафик.

  • NAT можно использовать только для масштабируемых консолидированных пограничных серверов, если используется служба нагрузки на DNS. При использовании аппаратной балансировки нагрузки необходимо использовать общедоступные IP-адреса с возможностью маршрутизации без NAT.

Можно без проблем использовать пограничные интерфейсы доступа, веб-конференций и передачи аудио- и видеоданных за маршрутизатором или брандмауэром, выполняющим симметричное преобразование сетевых адресов для топологий как с одним пограничным сервером, так и с масштабированными консолидированными топологиями пограничных серверов (при условии, что аппаратная балансировка нагрузки не используется).

Для развертываний пограничного сервера Skype для бизнеса Server 2015 доступно несколько вариантов топологии:

  • Единая консолидированная пограничная топология с закрытыми IP-адресами и преобразованием сетевых адресов

  • Единая консолидированная пограничная топология с общедоступными IP-адресами

  • Масштабируемая консолидированная пограничная топология с закрытыми IP-адресами и преобразованием сетевых адресов

  • Масштабируемая консолидированная пограничная топология с общедоступными IP-адресами

  • Масштабируемая консолидированная пограничная топология с аппаратными средствами балансировки нагрузки

Выбрать подходящий вариант с помощью таблицы со сводкой вариантов для каждой топологии:

 

Топология Высокая доступность Для внешних пограничных серверов в пограничном пуле требуются дополнительные записи DNS? Отработка отказа для сеансов Skype для бизнеса Server 2015 Отработка отказа для сеансов федерации Skype для бизнеса Server

Единая консолидированная пограничная топология с закрытыми IP-адресами и преобразованием сетевых адресов

Нет

Нет

Нет

Нет

Единая консолидированная пограничная топология с общедоступными IP-адресами

Нет

Нет

Нет

Нет

Масштабируемая консолидированная пограничная топология с закрытыми IP-адресами и преобразованием сетевых адресов (с балансировкой нагрузки DNS)

Да

Да

Да

Да*

Масштабируемая консолидированная пограничная топология с общедоступными IP-адресами (с балансировкой нагрузки DNS)

Да

Да

Да

Да*

Масштабируемая консолидированная пограничная топология с аппаратными средствами балансировки нагрузки

Да

Нет (одна запись A DNS на каждый виртуальный IP-адрес)

Да

Да

*Для отработки отказа удаленного пользователя единой системы обмена сообщениями Exchange с помощью службы балансировки нагрузки на DNS требуется Exchange 2013 или выше.

На фундаментальном уровне для трех служб требуются IP-адреса: доступа, веб-конференций и передачи аудио- и видеоданных. Можно использовать либо три IP-адреса (по одному для каждой политики), либо использовать один IP-адрес с возможностью размещения всех служб в разных портах (подробнее см. раздел Планирование порта и брандмауэра). Вот и все, что нужно учесть при использовании единой консолидированной среды пограничного сервера.

noteПримечание.
Как указано выше, можно выбрать один IP-адрес для всех трех служб и запустить их на разных портах. Однако следует отметить, что такой подход не рекомендуется. Если ваши клиенты не смогут получить доступ к альтернативным портам, используемым в этом сценарии, они не смогут получить доступ ко всем возможностям среды пограничного сервера.

Использование масштабируемых консолидированных топологий представляет собой более сложный процесс. Рассмотрим таблицы, иллюстрирующие требования к IP-адресам, не забывая о том, что основными факторами при выборе топологии являются высокая доступность и балансировка нагрузки. Требования к высокой доступности могут влиять на решение в отношении балансировки нагрузки (к этому вопросу мы вернемся после рассмотрения таблиц).

 

Число пограничных серверов в пуле Требуемое число IP-адресов для балансировки нагрузки на DNS Требуемое число IP-адресов для аппаратной балансировки нагрузки

2

6

3 (по 1 на виртуальный IP-адрес) + 6

3

9

3 (по 1 на виртуальный IP-адрес) + 9

4

12

3 (по 1 на виртуальный IP-адрес) + 12

5

15

3 (по 1 на виртуальный IP-адрес) + 15

 

Число пограничных серверов в пуле Требуемое число IP-адресов для балансировки нагрузки на DNS Требуемое число IP-адресов для аппаратной балансировки нагрузки

2

2

1 (по 1 на виртуальный IP-адрес) + 2

3

3

1 (по 1 на виртуальный IP-адрес) + 3

4

4

1 (по 1 на виртуальный IP-адрес) + 4

5

5

1 (по 1 на виртуальный IP-адрес) + 5

Рассмотрим несколько вопросов, которые необходимо учесть при планировании.

  • Высокая доступность . Если в развертывании требуется высокая доступность, следует выполнить развертывание как минимум двух пограничных серверов в пуле. Необходимо учесть, что один пограничный пул будет поддерживать до 12 пограничных серверов (и хотя построитель топологий позволит добавить до 20 серверов, такой подход не протестирован, не поддерживается и не рекомендуется). Чтобы использовать более 12 пограничных серверов, следует создать дополнительные пограничные пулы.

  • Аппаратная балансировка нагрузки . Для большинства сценариев рекомендуется служба нагрузки на DNS. Конечно, аппаратная балансировка нагрузки также поддерживается, но прежде всего она требуется для одного сценария с балансировкой нагрузки на DNS:

    • Внешний доступ к Exchange 2007 или Exchange 2010 (без SP) обмена сообщениями.

  • Балансировка нагрузки на DNS . Для единой системы обмена сообщениями служба нагрузки на DNS поддерживает Exchange 2010 с пакетом обновления 1 (SP1) и более новые версии. Обратите внимание, что службу нагрузки на DNS можно использовать для более ранних версий Exchange, но весь трафик в этом случае будет отправляться на первый сервер в пуле. Если этот сервер будет недоступен, обработка трафика завершится ошибкой.

    нагрузки на DNSИспользование балансировки нагрузки по DNS также рекомендуется при объединении с компаниями, использующими Lync Server 2010, Lync Server 2013 и Microsoft Office 365.

При развертывании пограничного сервера Skype для бизнеса Server 2015 очень важно правильно подготовиться к DNS. Выбор подходящих записей может значительно упростить процесс развертывания. Надеемся, вы выбрали топологию в предыдущем разделе, так как сначала мы сделаем обзор, а затем приведем список таблиц с записями DNS для описанных ранее сценариев. Кроме того, можно ознакомиться с разделом Расширенные возможности планирования DNS в Skype для бизнеса Server 2015 для более углубленного понимания.

Здесь мы рассмотрим DNS-записи, которые потребуются для одного пограничного сервера, использующего общедоступные или закрытые IP-адреса с NAT. Поскольку это образцы данных, мы приведем примеры IP-адресов, которые помогут вам разработать собственные записи:

  • Внутренний сетевой адаптер: 172.25.33.10 (шлюз по умолчанию не назначен)

    noteПримечание.
    Убедитесь в наличии маршрута между сетью, содержащей внутренний интерфейс пограничного сервера, и любыми сетями, содержащими серверы, на которых выполняются клиенты Skype для бизнеса Server 2015 или Lync Server 2013 (например, от 172.25.33.0 до 192.168.10.0).
  • Внешний сетевой адаптер:

    • Общедоступные IP-адреса

      • доступа: 131.107.155.10 (основной адрес, для которого в качестве шлюза по умолчанию задан общий маршрутизатор: 131.107.155.1)

      • пограничного сервера веб-конференций: 131.107.155.20 (дополнительный адрес)

      • передачи аудио- и видеоданных: 131.107.155.30 (дополнительный адрес)

      веб-конференциии передачи аудио- и видеоданных: их общедоступные IP-адреса — это дополнительные IP-адреса в разделе "Дополнительно" свойств "Протокол Интернета версии 4 (TCP/IPv4)" и "Протокол Интернета версии 6 (TCP/IPv6)" вкладки "Свойства подключения по локальной сети" в Windows Server.

    • Закрытые IP-адреса:

      • доступа: 10.45.16.10 (основной адрес, для которого в качестве шлюза по умолчанию задан маршрутизатор: 10.45.16.1)

      • пограничного сервера веб-конференций: 10.45.16.20 (дополнительный адрес)

      • передачи аудио- и видеоданных: 10.45.16.30 (дополнительный адрес)

веб-конференциии передачи аудио- и видеоданных: их общедоступные IP-адреса — это дополнительные IP-адреса в разделе "Дополнительно" свойств "Протокол Интернета версии 4 (TCP/IPv4)" и "Протокол Интернета версии 6 (TCP/IPv6)" вкладки "Свойства подключения по локальной сети" в Windows Server.

tipСовет.
Возможны другие конфигурации:
  • Можно использовать один IP-адрес для внешнего сетевого адаптера. Это не рекомендуется, поскольку в этом случае потребуется разграничить три службы с разными портами (эта возможность доступна в Skype для бизнеса Server) и некоторые брандмауэры могут блокировать альтернативные порты. Дополнительные сведения см. в статье Планирование порта и брандмауэра.

  • Можно назначить три внешних сетевых адаптера вместо одного и назначить один из IP-адресов службы каждому из них. Это разделит службы, если возникнут проблемы, то есть позволит упростить устранение неполадок и обеспечит бесперебойную работу служб несмотря на сбои.

 

Расположение Тип Порт Запись полного доменного имени или DNS-запись IP-адрес или полное доменное имя Примечания.

Внешняя DNS

Запись

NA

sip.contoso.com

 

общедоступные закрытые

131.107.155.10

10.45.16.10

Внешний интерфейс для пограничной службы доступа. Потребуется один интерфейс для каждого домена SIP с пользователями Skype для бизнеса.

Внешняя DNS

Запись

NA

webcon.contoso.com

 

общедоступные закрытые

131.107.155.20

10.45.16.20

Внешний интерфейс для службы пограничного сервера веб-конференций.

Внешняя DNS

Запись

NA

av.contoso.com

 

общедоступные закрытые

131.107.155.30

10.45.16.30

Внешний интерфейс для службы пограничного сервера веб-конференций.

Внешняя DNS

SRV-запись

443

_sip._tls.contoso.com

sip.contoso.com

Внешний интерфейс для пограничной службы доступа. Эта SRV-запись требуется для внешней работы клиентов Skype для бизнеса Server 2015, Lync Server 2013 и Lync Server 2010. Потребуется одна запись для каждого домена с пользователями Skype для бизнеса.

Внешняя DNS

SRV-запись

5061

_sipfederationtls._tcp.contoso.com

sip.contoso.com

Внешний интерфейс для пограничной службы доступа. Эта SRV-запись требуется для автоматического обнаружения DNS-записей федеративных партнеров, также называемых "Разрешенные домены SIP". Потребуется одна запись для каждого домена с пользователями Skype для бизнеса.

Внутренняя DNS

Запись

NA

sfvedge.contoso.net

172.25.33.10

Внутренний интерфейс для консолидированной среды пограничного сервера.

Здесь мы рассмотрим DNS-записи, которые потребуются для одного пограничного сервера, использующего общедоступные или закрытые IP-адреса с NAT. Поскольку это образцы данных, мы приведем примеры IP-адресов, которые помогут вам разработать собственные записи:

  • Внутренний сетевой адаптер:

    • Узел 1: 172.25.33.10 (шлюз по умолчанию не назначен)

    • Узел 2: 172.25.33.11 (шлюз по умолчанию не назначен)

    noteПримечание.
    Убедитесь в наличии маршрута между сетью, содержащей внутренний интерфейс пограничного сервера, и любыми сетями, содержащими серверы, на которых выполняются клиенты Skype для бизнеса Server 2015 или Lync Server 2013 (например, от 172.25.33.0 до 192.168.10.0).
  • Внешний сетевой адаптер:

    • Узел 1

      • Общедоступные IP-адреса:

        • доступа: 131.107.155.10 (основной адрес, для которого в качестве шлюза по умолчанию задан общий маршрутизатор: 131.107.155.1)

        • пограничного сервера веб-конференций: 131.107.155.20 (дополнительный адрес)

        • передачи аудио- и видеоданных: 131.107.155.30 (дополнительный адрес)

        веб-конференциии передачи аудио- и видеоданных: их общедоступные IP-адреса — это дополнительные IP-адреса в разделе "Дополнительно" свойств "Протокол Интернета версии 4 (TCP/IPv4)" и "Протокол Интернета версии 6 (TCP/IPv6)" вкладки "Свойства подключения по локальной сети" в Windows Server.

      • Закрытые IP-адреса:

        • доступа: 10.45.16.10 (основной адрес, для которого в качестве шлюза по умолчанию задан маршрутизатор: 10.45.16.1)

        • пограничного сервера веб-конференций: 10.45.16.20 (дополнительный адрес)

        • передачи аудио- и видеоданных: 10.45.16.30 (дополнительный адрес)

      веб-конференциии передачи аудио- и видеоданных: их общедоступные IP-адреса — это дополнительные IP-адреса в разделе "Дополнительно" свойств "Протокол Интернета версии 4 (TCP/IPv4)" и "Протокол Интернета версии 6 (TCP/IPv6)" вкладки "Свойства подключения по локальной сети" в Windows Server.

    • Узел 2

      • Общедоступные IP-адреса:

        • доступа: 131.107.155.11 (основной адрес, для которого в качестве шлюза по умолчанию задан общий маршрутизатор: 131.107.155.1)

        • пограничного сервера веб-конференций: 131.107.155.21 (дополнительный адрес)

        • передачи аудио- и видеоданных: 131.107.155.31 (дополнительный адрес)

        веб-конференциии передачи аудио- и видеоданных: их общедоступные IP-адреса — это дополнительные IP-адреса в разделе "Дополнительно" свойств "Протокол Интернета версии 4 (TCP/IPv4)" и "Протокол Интернета версии 6 (TCP/IPv6)" вкладки "Свойства подключения по локальной сети" в Windows Server.

      • Закрытые IP-адреса:

        • доступа: 10.45.16.11 (основной адрес, для которого в качестве шлюза по умолчанию задан маршрутизатор: 10.45.16.1)

        • пограничного сервера веб-конференций: 10.45.16.21 (дополнительный адрес)

        • передачи аудио- и видеоданных: 10.45.16.31 (дополнительный адрес)

      веб-конференциии передачи аудио- и видеоданных: их общедоступные IP-адреса — это дополнительные IP-адреса в разделе "Дополнительно" свойств "Протокол Интернета версии 4 (TCP/IPv4)" и "Протокол Интернета версии 6 (TCP/IPv6)" вкладки "Свойства подключения по локальной сети" в Windows Server.

tipСовет.
Возможны другие конфигурации:
  • Можно использовать один IP-адрес для внешнего сетевого адаптера. Это не рекомендуется, поскольку в этом случае потребуется разграничить три службы с разными портами (эта возможность доступна в Skype для бизнеса Server) и некоторые брандмауэры могут блокировать альтернативные порты. Дополнительные сведения см. в статье Планирование порта и брандмауэра.

  • Можно назначить три внешних сетевых адаптера вместо одного и назначить один из IP-адресов службы каждому из них. Это разделит службы, если возникнут проблемы, то есть позволит упростить устранение неполадок и обеспечит бесперебойную работу служб несмотря на сбои.

 

Расположение Тип Порт Запись полного доменного имени или DNS-запись IP-адрес или полное доменное имя Примечания.

Внешняя DNS

Запись

NA

sip.contoso.com

 

общедоступные закрытые

131.107.155.10 и 131.107.155.11

10.45.16.10 и 10.45.16.11

Внешний интерфейс для пограничной службы доступа. Потребуется один интерфейс для каждого домена SIP с пользователями Skype для бизнеса.

Внешняя DNS

Запись

NA

webcon.contoso.com

 

общедоступные закрытые

131.107.155.20 и 131.107.155.21

10.45.16.20 и 10.45.16.21

Внешний интерфейс для службы пограничного сервера веб-конференций.

Внешняя DNS

Запись

NA

av.contoso.com

 

общедоступные закрытые

131.107.155.30 и 131.107.155.31

10.45.16.30 и 10.45.16.31

Внешний интерфейс для службы пограничного сервера веб-конференций.

Внешняя DNS

SRV-запись

443

_sip._tls.contoso.com

sip.contoso.com

Внешний интерфейс для пограничной службы доступа. Эта SRV-запись требуется для внешней работы клиентов Skype для бизнеса Server 2015, Lync Server 2013 и Lync Server 2010. Потребуется одна запись для каждого домена с Skype для бизнеса.

Внешняя DNS

SRV-запись

5061

_sipfederationtls._tcp.contoso.com

sip.contoso.com

Внешний интерфейс для пограничной службы доступа. Эта SRV-запись требуется для автоматического обнаружения DNS-записей федеративных партнеров, также называемых "Разрешенные домены SIP". Потребуется одна запись для каждого домена с Skype для бизнеса.

Внутренняя DNS

Запись

NA

sfvedge.contoso.net

172.25.33.10 и 172.25.33.11

Внутренний интерфейс для консолидированной среды пограничного сервера.

 

Расположение Тип Порт Полное доменное имя Запись полного доменного имени узла Примечания.

Внешняя DNS

SRV

5061

_sipfederationtls_tcp.contoso.com

sip.contoso.com

Внешний интерфейс SIP пограничной службы доступа требуется для автоматического обнаружения DNS. Используется другими потенциальными федеративными партнерами. Также называется "Разрешенные домены SIP". Требуется один интерфейс для всех доменов SIP с пользователями Skype для бизнеса.

noteПримечание.
Эта запись SRV необходима для функции "Мобильность" и расчетной палаты push-уведомлений

 

Расположение Тип Порт Полное доменное имя IP-адрес или запись полного доменного имени узла Примечания.

Внешняя DNS

SRV

5269

_xmpp-server._tcp.contoso.com

xmpp.contoso.com

Интерфейс прокси XMPP в пограничной службе доступа или пограничном пуле. Эту процедуру потребуется повторить для всех внутренних доменов SIP с включенными пользователями Skype для бизнеса, взаимодействие с контактами XMPP разрешено путем настройки следующих политик.

  • глобальная политика

  • политика веб-сайта, на котором настроен пользователь

  • политика пользователя, которая применяется к включенному пользователю Skype для бизнеса

Необходимо также сконфигурировать разрешенную политику XMPP в политике федеративных партнеров XMPP.

Внешняя DNS

SRV

A

xmpp.contoso.com

IP-адрес пограничной службы доступа на пограничном сервере или в пограничном пуле с размещением службы прокси-сервера XMPP

Указывает на пограничную службу доступа на пограничном сервере или в пограничном пуле, где размещается служба прокси-сервера XMPP. Как правило, создаваемая запись SRV указывает на эту запись размещения (A или AAAA).

Skype для бизнеса Server 2015использует сертификаты для создания защищенной зашифрованной передачи данными между серверами и с клиента на сервер. Как и можно было ожидать, для сертификатов понадобятся DNS-записи, чтобы серверы подходили любому имени субъекта (SN) и альтернативному имени субъекта (SAN) в сертификатах. Это требует принятия определенных мер на стадии планирования, для регистрации подходящих полных доменных имен в DNS для записей SN и SAN ваших сертификатов.

Мы рассмотрим требования к внешним и внутренним сертификатам по отдельности, а затем ознакомимся с таблицей, в которой объединены и те, и другие требования.

Следует указать по крайней мере сертификат, назначенный внешним интерфейсам пограничного сервера в общедоступном центре сертификации. Мы не можем порекомендовать конкретный центр сертификации, но можем предложить список партнеров по сертификации объединенных коммуникаций. Посмотрите, есть ли в этом списке центр сертификации, которому вы отдаете предпочтение.

Когда и как отравлять запрос на получение общедоступного сертификата в центр сертификации? Есть несколько способов.

  • Вы можете сначала установить Skype для бизнеса Server, а затем выполнить развертывание пограничных серверов. В мастере создания Skype для бизнеса Server есть шаг для создания запроса на получение сертификата, который затем можно отправить в выбранный центр сертификации.

  • Для создания этого запроса также можно воспользоваться командами Windows PowerShell, если это больше соответствует вашим бизнес-потребностям или стратегии развертывания.

  • Наконец, в центре сертификации может быть свой собственный процесс передачи, который также может включать Windows PowerShell или другой метод. В этом случае вы должны будете обратиться к документации центра сертификации в дополнение к представленной здесь информации.

После получения сертификата потребуется продолжить процедуру, назначив сертификат этим службам в Skype для бизнеса Server:

  • доступа, интерфейс

  • веб-конференций, интерфейс

  • Службу проверки подлинности аудио- и видеосеанса (не следует путать с пограничной службой передачи аудио- и видеоданных, которая не использует сертификат для шифрования аудио- и видеопотоков)

importantВажно!
Все пограничные серверы должны использовать один и тот же сертификат с одним и тем же закрытым ключом для службы проверки подлинности при ретрансляции мультимедиа.

Для внутреннего интерфейса пограничного сервера можно использовать открытый сертификат из общедоступного центра сертификации или сертификат, выданный внутренним центром сертификации вашей организации. Следует помнить, что внутренний сертификат использует запись SN и не использует записи SAN, поэтому вы можете не беспокоиться о SAN во внутреннем сертификате.

Приведенная здесь таблица поможет вам лучше ориентироваться в запросах. Записи полного доменного имени в этой таблице являются примерами доменов. Вам потребуется выполнять запросы на основе собственных закрытых доменов и публичных доменов. Мы использовали:

  • contoso.com: общедоступное полное доменное имя

  • fabrikam.com: дополнительное общедоступное полное доменное имя (добавлено для демонстрации запроса при наличии нескольких доменов SIP)

  • Contoso.net: внутренний домен

Независимо от того, используется ли один Пограничный сервер или пул, для сертификата потребуются следующие компоненты:

 

Компонент Имя субъекта (SN) Альтернативные имена субъектов/порядок Примечания.

Внешняя пограничная служба

sip.contoso.com

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

Этот сертификат потребуется запросить в общедоступном ЦС и назначить его внешним интерфейсам пограничного сервера для следующих целей:

  • доступа

  • пограничного сервера веб-конференций

  • Проверка подлинности аудио и видео

Альтернативные имена субъекта автоматически добавляются в запрос на получение сертификата, а затем и в ваш сертификат после отправки запроса на основе значений, определенных для этого развертывания в построителе топологий. Для всех доменов SIP и других записей, для которых необходима поддержка, потребуется добавить дополнительные записи альтернативных имен субъектов. Доменное имя sip.contoso.com автоматически реплицируется в этом экземпляре, что необходимо для правильной работы.

noteПримечание.
Этот сертификат также можно использовать для связи с Public Instant Messaging. Эта процедура ничем не изменилась, но в предыдущих версиях этой документации она была представлена в отдельной таблице.

Внутренняя пограничная служба

sfbedge.contoso.com

NA

Этот сертификат можно получить в общедоступном или внутреннем центре сертификации. Сертификат должен содержать расширенное использование ключа (EKU), и его необходимо назначить внутреннему интерфейсу пограничного сервера.

noteПримечание.
Если для расширяемого протокола XMPP требуется сертификат, он будет идентичен приведенным выше записям таблицы внешнего пограничного сервера, но при этом будет содержать две дополнительные записи альтернативного имени субъекта:
  • xmpp.contoso.com

  • *.contoso.com

Помните о том, что в настоящее время протокол XMPP поддерживается только для Google Talk. Чтобы использовать его для других целей, необходимо подтвердить использование сторонних функций.

Правильное планирование портов и брандмауэров для развертываний пограничного сервера Skype для бизнеса Server может сэкономить вам несколько дней или недель поиска неисправностей и стресса. Поэтому мы приведем несколько таблиц, которые определяют использование протоколов и порты (входящие или исходящие), которые должны быть открыты для NAT и для сценариев с общедоступными IP-адресами. Также мы приведем отдельные таблицы для сценариев с аппаратной балансировкой нагрузки и некоторые дополнительные рекомендации. Подробнее см. разделы Технические схемы для Skype для бизнеса Server 2015 и Варианты пограничных серверов в Skype для бизнеса Server 2015, где можно ознакомиться с конкретными вопросами развертывания.

Прежде чем приступить к обсуждению сводных таблиц для внешних и внутренних брандмауэров, рассмотрим следующую таблицу:

 

Транспорт аудио- и видеоданных Использование

UDP

Предпочитаемый протокол транспортного уровня для аудио- и видеоданных.

TCP

Резервный протокол транспортного уровня для аудио- и видеоданных.

Обязательный протокол транспортного уровня для общего доступа к приложениям в Skype для бизнеса Server 2015, Lync Server 2013 и Lync Server 2010.

Обязательный протокол транспортного уровня для передачи файлов в Skype для бизнеса Server 2015, Lync Server 2013 и Lync Server 2010.

Исходный IP-адрес и конечный IP-адрес будут содержать информацию для пользователей, использующих частные IP-адреса с NAT, а также для людей, использующих общедоступные IP-адреса. Раздел Варианты пограничных серверов в Skype для бизнеса Server 2015 охватывает все перестановки.

 

Роль или протокол TCP или UDP Конечный порт или диапазон портов IP-адрес источника IP-адрес назначения Примечания.

XMPP

TCP

5269

Любой

прокси-сервера XMPP(использует IP-адрес совместно с доступа

Служба прокси-сервера XMPP принимает трафик от контактов XMPP в определенных федерациях XMPP.

Доступ/HTTP

TCP

80

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный сервердоступа

Пограничный сервердоступаОбщедоступный IP-адрес

Любой

Отзыв сертификата и проверка и поиск CRL.

Доступ/DNS

TCP

53

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный сервердоступа

Пограничный сервердоступаОбщедоступный IP-адрес

Любой

DNS-запрос по протоколу TCP.

Доступ/DNS

UDP

53

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный сервердоступа

Пограничный сервердоступаОбщедоступный IP-адрес

Любой

DNS-запрос по протоколу UDP.

Доступ/SIP(TLS)

TCP

443

Любой

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный сервердоступа

Пограничный сервердоступаОбщедоступный IP-адрес

Трафик SIP от клиента к серверу для доступа внешних пользователей.

Доступ/SIP(MTLS)

TCP

5061

Любой

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный сервердоступа

Пограничный сервердоступаОбщедоступный IP-адрес

Для федеративного подключения и подключения к общедоступным службам обмена мгновенными сообщениями с помощью SIP.

Доступ/SIP(MTLS)

TCP

5061

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный сервердоступа

Пограничный сервердоступаОбщедоступный IP-адрес

Любой

Для федеративного подключения и подключения к общедоступным службам обмена мгновенными сообщениями с помощью SIP.

Веб-конференции/PSOM(TLS)

TCP

443

Любой

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный сервервеб-конференций

Пограничный сервервеб-конференций, общедоступный IP-адрес службы

веб-конференциимультимедиа.

A/V/RTP

TCP

50000-59999

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный серверпередачи аудио- и видеоданныхслужба

Пограничный серверпередачи аудио- и видеоданныхОбщедоступный IP-адрес

Любой

Используется для ретрансляции трафика мультимедиа.

A/V/RTP

UDP

50000-59999

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный серверпередачи аудио- и видеоданныхслужба

Пограничный серверпередачи аудио- и видеоданныхОбщедоступный IP-адрес

Любой

Используется для ретрансляции трафика мультимедиа.

A/V/STUN.MSTURN

UDP

3478

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный серверпередачи аудио- и видеоданных

Пограничный серверпередачи аудио- и видеоданныхОбщедоступный IP-адрес

Любой

Исходящий порт 3478:

  • Используется Skype для бизнеса Server для определения версии пограничного сервера, с которым происходит взаимодействие.

  • Используется для трафика мультимедиа между пограничными серверами.

  • Записи, необходимые для федерации с Lync Server 2010.

  • Требуется, если в организации развернуто несколько пограничных серверов.

A/V/STUN.MSTURN

UDP

3478

Любой

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный серверпередачи аудио- и видеоданных

Пограничный серверпередачи аудио- и видеоданныхОбщедоступный IP-адрес

STUN/TURN – согласование кандидатов по протоколу UDP и порту 3478.

A/V/STUN.MSTURN

TCP

443

Любой

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный серверпередачи аудио- и видеоданных

Пограничный серверпередачи аудио- и видеоданныхОбщедоступный IP-адрес

STUN/TURN – согласование кандидатов по протоколу TCP и порту 443.

A/V/STUN.MSTURN

TCP

443

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный серверпередачи аудио- и видеоданных

Пограничный серверпередачи аудио- и видеоданныхОбщедоступный IP-адрес

Любой

STUN/TURN – согласование кандидатов по протоколу TCP и порту 443.

 

Протокол TCP или UDP Порт IP-адрес источника IP-адрес назначения Примечания.

XMPP/MTLS

TCP

23456

Любая среда, в которой работает служба шлюза XMPP:

  • переднего плана

  • переднего плана

Пограничный сервер, внутренний интерфейс

Исходящий трафик XMPP из службы шлюза XMPP, работающего на сервере переднего плана или в пуле серверов переднего плана.

SIP/MTLS

TCP

5061

Любая:

  • Директор

  • директоров

  • переднего плана

  • переднего плана

Пограничный сервер, внутренний интерфейс

Исходящий трафик SIP из директора, пула директоров, сервера переднего плана или пула переднего плана) во внутренний интерфейс пограничного сервера.

SIP/MTLS

TCP

5061

Пограничный сервер, внутренний интерфейс

Любая:

  • Директор

  • директоров

  • переднего плана

  • переднего плана

Входящий трафик SIP на адрес директора, пула директоров, сервера переднего плана или пула переднего плана) из внутреннего интерфейса пограничного сервера.

PSOM/MTLS/8057

TCP

8057

Любая:

  • переднего плана

  • Каждый переднего плана

    в переднего плана

Пограничный сервер, внутренний интерфейс

Трафик веб-конференций с сервера переднего плана или с каждого сервера переднего плана (при наличии пула серверов переднего плана) во внутренний интерфейс пограничного сервера.

SIP/MTLS

TCP

5062

Любая:

  • переднего плана

  • переднего плана

  • Каждое устройство для обеспечения связи в филиалах, использующее этот Пограничный сервер

  • Каждый для обеспечения связи в филиалах, использующий этот Пограничный сервер

Пограничный сервер, внутренний интерфейс

Проверка подлинности пользователей аудио/видео из сервера переднего плана или пула серверов переднего плана или устройства для обеспечения связи в филиалах или сервера для обеспечения связи в филиалах с использованием вашего пограничного сервера.

UDP (STUN/MSTURN)

UDP

3478

Любой

Пограничный сервер, внутренний интерфейс

Предпочитаемый путь передачи аудио/видео между внутренними и внешними пользователями, а также между устройством для обеспечения связи в филиалах или сервером для обеспечения связи в филиалах.

UDP (STUN/MSTURN)

TCP

443

Любой

Пограничный сервер, внутренний интерфейс

Резервный путь для передачи аудио/видео между внутренними и внешними пользователями, устройством для обеспечения связи в филиалах или для обеспечения связи в филиалах в случае, если подключение UDP не работает. Для передачи файлов и общего доступа к рабочему столу используется TCP.

HTTPS

TCP

4443

Любая:

  • переднего плана, которая содержит управления

  • переднего плана, которая содержит управления

Пограничный сервер, внутренний интерфейс

Репликация изменений из центрального хранилища управления на пограничном сервере.

MTLS

TCP

50001

Любой

Пограничный сервер, внутренний интерфейс

централизованная служба ведения журнала— контроллер с использованием командлетов Командная консоль Skype для бизнеса Server и централизованная служба ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и коллекции журналов.

MTLS

TCP

50002

Любой

Пограничный сервер, внутренний интерфейс

централизованная служба ведения журнала— контроллер с использованием командлетов Командная консоль Skype для бизнеса Server и централизованная служба ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и коллекции журналов.

MTLS

TCP

50003

Любой

Пограничный сервер, внутренний интерфейс

централизованная служба ведения журнала— контроллер с использованием командлетов Командная консоль Skype для бизнеса Server и централизованная служба ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и коллекции журналов.

Мы добавили раздел, посвященный аппаратным средствам балансировки нагрузки и пограничным портам, так как дополнительное оборудование — более сложная тема. Для получения рекомендаций по конкретным сценарием ознакомьтесь со следующими таблицами:

Исходный IP-адрес и конечный IP-адрес будут содержать информацию для пользователей, использующих частные IP-адреса с NAT, а также для людей, использующих общедоступные IP-адреса. Раздел Варианты пограничных серверов в Skype для бизнеса Server 2015 охватывает все перестановки.

 

Роль или протокол TCP или UDP Конечный порт или диапазон портов IP-адрес источника IP-адрес назначения Примечания.

Доступ/HTTP

TCP

80

Пограничный сервердоступаОбщедоступный IP-адрес

Любой

Отзыв сертификата и проверка и поиск CRL.

Доступ/DNS

TCP

53

Пограничный сервердоступаОбщедоступный IP-адрес

Любой

DNS-запрос по протоколу TCP.

Доступ/DNS

UDP

53

Пограничный сервердоступаОбщедоступный IP-адрес

Любой

DNS-запрос по протоколу UDP.

A/V/RTP

TCP

50000-59999

Пограничный серверпередачи аудио- и видеоданныхIP-адрес

Любой

Используется для ретрансляции трафика мультимедиа.

A/V/RTP

UDP

50000-59999

Пограничный серверпередачи аудио- и видеоданныхОбщедоступный IP-адрес

Любой

Используется для ретрансляции трафика мультимедиа.

A/V/STUN.MSTURN

UDP

3478

Пограничный серверпередачи аудио- и видеоданныхОбщедоступный IP-адрес

Любой

Исходящий порт 3478:

  • Используется Skype для бизнеса Server для определения версии пограничного сервера, с которым происходит взаимодействие.

  • Используется для трафика мультимедиа между пограничными серверами.

  • Требуется для федерации.

  • Требуется, если в организации развернуто несколько пограничных серверов.

A/V/STUN.MSTURN

UDP

3478

Любой

Пограничный серверпередачи аудио- и видеоданныхОбщедоступный IP-адрес

STUN/TURN – согласование кандидатов по протоколу UDP и порту 3478.

A/V/STUN.MSTURN

TCP

443

Любой

Пограничный серверпередачи аудио- и видеоданныхОбщедоступный IP-адрес

STUN/TURN – согласование кандидатов по протоколу TCP и порту 443.

A/V/STUN.MSTURN

TCP

443

Пограничный серверпередачи аудио- и видеоданныхОбщедоступный IP-адрес

Любой

STUN/TURN – согласование кандидатов по протоколу TCP и порту 443.

 

Протокол TCP или UDP Порт IP-адрес источника IP-адрес назначения Примечания.

XMPP/MTLS

TCP

23456

Любая среда, в которой работает служба шлюза XMPP:

  • переднего плана

  • переднего плана— виртуальный IP-адрес, с которым выполняется служба шлюза XMPP

Пограничный сервер, внутренний интерфейс

Исходящий трафик XMPP из службы шлюза XMPP, работающего на сервере переднего плана или в пуле серверов переднего плана.

HTTPS

TCP

4443

Любая:

  • переднего плана, которая содержит управления

  • переднего плана, которая содержит управления

Пограничный сервер, внутренний интерфейс

Репликация изменений из центрального хранилища управления на пограничном сервере.

PSOM/MTLS/8057

TCP

8057

Любая:

  • переднего плана

  • Каждый сервер переднего плана в переднего плана

Пограничный сервер, внутренний интерфейс

Трафик веб-конференций с сервера переднего плана или с каждого сервера переднего плана (при наличии пула серверов переднего плана) во внутренний интерфейс пограничного сервера.

UDP (STUN/MSTURN)

UDP

3478

Любая:

  • переднего плана

  • Каждый сервер переднего плана в переднего плана

Пограничный сервер, внутренний интерфейс

Предпочитаемый путь передачи аудио/видео между внутренними и внешними пользователями, а также между устройством для обеспечения связи в филиалах или сервером для обеспечения связи в филиалах.

UDP (STUN/MSTURN)

TCP

443

Любая:

  • переднего плана

  • Каждый сервер переднего плана в пуле

Пограничный сервер, внутренний интерфейс

Резервный путь для передачи аудио/видео между внутренними и внешними пользователями, устройством для обеспечения связи в филиалах или для обеспечения связи в филиалах в случае, если подключение UDP не работает. Для передачи файлов и общего доступа к рабочему столу используется TCP.

MTLS

TCP

50001

Любой

Пограничный сервер, внутренний интерфейс

централизованная служба ведения журнала— контроллер с использованием командлетов Командная консоль Skype для бизнеса Server и централизованная служба ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и коллекции журналов.

MTLS

TCP

50002

Любой

Пограничный сервер, внутренний интерфейс

централизованная служба ведения журнала— контроллер с использованием командлетов Командная консоль Skype для бизнеса Server и централизованная служба ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и коллекции журналов.

MTLS

TCP

50003

Любой

Пограничный сервер, внутренний интерфейс

централизованная служба ведения журнала— контроллер с использованием командлетов Командная консоль Skype для бизнеса Server и централизованная служба ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и коллекции журналов.

 

Роль или протокол TCP или UDP Конечный порт или диапазон портов IP-адрес источника IP-адрес назначения Примечания.

XMPP

TCP

5269

Любой

прокси-сервера XMPP(использует IP-адрес совместно с пограничной службой доступа)

Служба прокси-сервера XMPP принимает трафик от контактов XMPP в определенных федерациях XMPP.

XMPP

TCP

5269

прокси-сервера XMPP(использует IP-адрес совместно с пограничной службой доступа)

Любой

прокси-сервера XMPP отправляет трафик от контактов XMPP в определенных федерациях XMPP.

Доступ/SIP(TLS)

TCP

443

Любой

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный сервердоступа

Пограничный сервердоступаОбщедоступный IP-адрес

Трафик SIP от клиента к серверу для доступа внешних пользователей.

Доступ/SIP(MTLS)

TCP

5061

Любой

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный сервердоступа

Пограничный сервердоступаОбщедоступный IP-адрес

Для федеративного подключения и подключения к общедоступным службам обмена мгновенными сообщениями с помощью SIP.

Доступ/SIP(MTLS)

TCP

5061

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный сервердоступаслужба

Пограничный сервердоступаОбщедоступный IP-адрес

Любой

Для федеративного подключения и подключения к общедоступным службам обмена мгновенными сообщениями с помощью SIP.

веб-конференции/PSOM(TLS)

TCP

443

Любой

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный сервервеб-конференций

Пограничный сервервеб-конференцийОбщедоступный IP-адрес

веб-конференциимультимедиа.

A/V/STUN.MSTURN

UDP

3478

Любой

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный серверпередачи аудио- и видеоданных

Пограничный серверпередачи аудио- и видеоданныхОбщедоступный IP-адрес

STUN/TURN – согласование кандидатов по протоколу UDP и порту 3478.

A/V/STUN.MSTURN

TCP

443

Любой

 

Частный IP-адрес с использованием NAT Общедоступный IP-адрес

Пограничный серверпередачи аудио- и видеоданных

Пограничный серверпередачи аудио- и видеоданныхОбщедоступный IP-адрес

STUN/TURN – согласование кандидатов по протоколу TCP и порту 443.

Приведенные здесь рекомендации немного отличаются. Фактически при использовании аппаратной балансировки нагрузки теперь рекомендуется использовать маршрутизацию через внутренний виртуальный IP-адрес только при следующих условиях:

  • Если вы используете Exchange 2007 или Exchange 2010обмена сообщениями.

  • У вас есть устаревшие клиенты, использующие пограничный сервер.

Следующая таблица содержит рекомендации для таких сценариев. В других случаях у вас должна быть возможность использовать центральное хранилище управления для перенаправления трафика на отдельный пограничный сервер, о котором известно хранилищу (для этого не требуется настроить центральное хранилище управления для регулярного обновления информации пограничного сервера).

 

Протокол TCP или UDP Порт IP-адрес источника IP-адрес назначения Примечания.

Доступ/SIP(MTLS)

TCP

5061

Любая:

  • Директор

  • директоровВиртуальный IP-адрес

  • переднего плана

  • переднего планаВиртуальный IP-адрес

Пограничный сервер, внутренний интерфейс

Исходящий трафик SIP с виртуального IP-адреса директора, пула директоров, сервера переднего плана или пула переднего плана) во внутренний интерфейс пограничного сервера.

Доступ/SIP(MTLS)

TCP

5061

Пограничный сервер, внутренний интерфейс виртуального IP-адреса

Любая:

  • Директор

  • директоровВиртуальный IP-адрес

  • переднего плана

  • переднего планаВиртуальный IP-адрес

Входящий трафик SIP на виртуальный IP-адрес директора, пула директоров, сервера переднего плана или пула переднего плана) из внутреннего интерфейса пограничного сервера.

SIP/MTLS

TCP

5062

Любая:

  • переднего планаIP-адрес

  • переднего планаIP-адрес

  • Каждый для обеспечения связи в филиалах, использующий этот Пограничный сервер

  • Каждый для обеспечения связи в филиалах, использующий этот Пограничный сервер

Пограничный сервер, внутренний интерфейс

Проверка подлинности пользователей аудио/видео из сервера переднего плана или пула серверов переднего плана или устройства для обеспечения связи в филиалах или сервера для обеспечения связи в филиалах с использованием вашего пограничного сервера.

UDP (STUN/MSTURN)

UDP

3478

Любой

Пограничный сервер, внутренний интерфейс

Предпочитаемый путь передачи аудио/видео между внутренними и внешними пользователями.

UDP (STUN/MSTURN)

TCP

443

Любой

Пограничный сервер, внутренний интерфейс виртуального IP-адреса

Резервный путь для передачи аудио/видео между внутренними и внешними пользователями, устройством в случае, если подключение UDP не работает. Для передачи файлов и общего доступа к рабочему столу используется TCP.

 
Показ: